Чтение онлайн

Каждый пользователь должен работать в системе под своей учетной записью. Это позволит вам обезопасить свои файлы от чужого вмешательства и по системным журналам определить, когда и кем были произведены разрушительные действия.

Обычному пользователю вы должны выделять ограниченные права, которые позволят выполнять только необходимые операции. Кроме того, вы должны минимизировать количество пользователей с большими привилегиями, потому что такие учетные записи требуют особо пристального внимания и наблюдения. Если под привилегированной учетной записью вошли в систему с компьютера, где владелец записи не мог находиться,

то это укажет на потенциальную опасность или взлом.

После увольнения сотрудника вы должны удалить его учетную запись, чтобы недовольный этим фактом он не уничтожил важные данные.

Для работы с командами управления доступом вы должны обладать правами администратора. Для этого можно войти в систему как пользователь root или использовать директиву

. В разд. 4.16 мы рассмотрим еще один способ — использование утилиты sudo.

А теперь перейдем к сути проблемы.

Давайте вспомним команду

. Она возвращает список файлов в следующем виде:

Как мы уже знаем, первая колонка (занимает 10 символов) — это права доступа. Давайте рассмотрим, из чего она состоит. Первый символ указывает на тип записи. Здесь может быть одно из следующих значений:

□ знак тире (—) — обычный файл;

□ буква "d" —- каталог;

□ буква "l" — символьная ссылка;

□ буква "s" — сокет;

□ буква "p" — файл FIFO (First in first out, первый вошел — первый вышел).

После этого в каждой строке идет три группы символов rwx, определяющих права доступа для различных категорий пользователей:

□ первая тройка — владельцу файла;

□ вторая — пользователям, входящим в группу владельца;

□ последняя — всем остальным.

Каждая такая группа состоит из трех символов: r (чтение), w (запись) и x (выполнение). Установленная буква говорит о разрешении соответствующего действия. Рассмотрим несколько вариантов.

Первая строка в нашем примере

. Первый символ d, а значит, это директория. Потом идут три символа , т.е. хозяин файла может читать, записывать и исполнять директорию. Вместо остальных шести символов стоят знаки тире, значит, у пользователей группы и у всех остальных нет прав.

Вторая строка —

. Это снова директория. Потом стоит комбинация , а значит, владельцу разрешены все операции. Следующая тройка, соответствующая группе, равна , а стало быть, возможно чтение и исполнение. В соответствии с последней тройкой всем остальным пользователем также доступно только чтение и исполнение.

Последняя строка в примере содержит права доступа

для файла (первый символ — это знак тире). Хозяин файла имеет полный доступ к нему (первая тройка ). Пользователи группы могут читать и выполнять файл, но не могут его изменять (вторая тройка ). Все остальные могут только читать файл (последняя тройка ).

Права можно воспринимать как последовательность нулей и единиц. Если в определенном месте стоит 1 (указан один из символов r, w или x), то операция разрешена. Если 0 (находится знак тире), то действие запрещено. Давайте попробуем записать права

в виде нулей и единиц. Установите вместо букв единицы, а вместо тире — нули. Должно получиться 111101100. Разобьем эту комбинацию на три части 111, 101 и 100. Теперь каждую тройку переведем в восьмеричную систему по следующей формуле:

У нас получатся три цифры 7, 5, и 4, которые будем рассматривать как десятичное число 754. Запомните его, оно нам пригодится при назначении прав на файлы и каталоги. Чтобы вам в дальнейшем проще было регламентировать доступ, предлагаю все возможные варианты значений для отдельного разряда числа:

□ 0 — запрещено все;

□ 1 — разрешено выполнение;

□ 2 — разрешена запись;

□ 3 — разрешена запись и выполнение;

□ 4 — разрешено чтение;

□ 5 — разрешено чтение и выполнение;

□ 6 — разрешено чтение и запись;

□ 7 — разрешено все.

Попробуйте теперь с помощью этого списка определить возможности, которые предоставляет число 754. Каждый разряд нужно рассматривать в отдельности. Сравните полученный результат с символьным представлением

. Должно выйти одно и то же.

Внимание!

Для того чтобы иметь право создания или удаления файлов, необходимо иметь разрешение записи на директорию. Это немного сбивает с толку начинающих администраторов, т.к. им непонятно, почему при наличии всех прав на файл его нельзя удалять.

Для изменения режима доступа на объекты файловой системы используется команда

. В ней можно указывать новые права на объект как в символьном (применяется для изменения относительно текущего состояния), так и в числовом виде (абсолютное задание). Для начала рассмотрим символьный режим:

Параметры могут включать комбинацию значений изменения прав по категориям пользователей:

□ 

— владельца;

□ 

— группы;

□ 

— остальных пользователей;

□ 

— все права (то же самое, что передать значение ).

Перед указанием прав можно задать режим их изменения относительно существующих:

□ 

— добавить;

□ 

— удалить;

□ 

— заменить новыми (старые значения будут уничтожены). После этого устанавливается режим доступа: